手动漏洞挖掘(三) 文件上传

还是以Metasploitable中的DWVA为例 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传 我们上传一张照片后: 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传 但是这里却显示了文件的路径,我们试猜想,如果上传的不是一个图片,而是一个php文件,而且文件中包含一句话木马,会不会有不同的效果 为了验证,这里我编写了一个简单的一句话木马1.php文件 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传 功能很简单打开cmd命令,将cmd命令的结果echo到页面中   同样这里上传成功: 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传 可以在输入框内将此路径放置在后面, 并且给cmd命令赋值: 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传 漏洞利用成功,这是最简单的文件上传漏洞利用   但是这种方式在DVWA为最低安全级别,调制中安全级别,就会对文件类型做以判断,这时就需要用burpsuite来干涉发包行为,我们先对其数据包进行截断查看: 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传 修改如下: 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传 果然在客户端已经显示,我们将php文件已经上传: 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传 再次利用成功 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传   如果把安全级别调制高安全级别: 对于高安全级别,先查看其源代码 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传 我们继续用burpsuite截断: 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传 和之前同理我们修改其Content-Type,但是发现没有效果,因为此时的filename为1.php,我们既要将文件名修改为jpg类型的,又要符合PHP脚本后缀(为了让文件执行),这里可以这样做: 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传 利用成功: 手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传手动漏洞挖掘(三) 文件上传   小结:在利用文件上传漏洞时候,结合burpsuite去截断查看数据包内容,可以猜测开发者的代码思路,从而进行漏洞利用   问题:如何对图片传输进行严格卡控? 对其输出的二进制文件,进行字节遍历,从而判断文件类型。如果对文件头卡控不严格,我们可以对其burpsuite截断,将一句话木马放到文件二进制字节后面(但是文件类型还需要有php,因为apache默认不会执行jpg文件) 或者我们对文件存放的目录权限降低,也可进行防守效果    
上一篇:Python 爬虫(四):Selenium 框架


下一篇:ThoughtWorks Merchant's Guide To The Galaxy